Inizio
/
Cos'è un record DMARC e come configurarlo?

Cos'è un record DMARC e come configurarlo?

Cos’è il DMARC

DMARC (Domain-based Message Authentication, Reporting e Conformance)  è un sistema di convalida della posta elettronica progettato per proteggere il tuo dominio dall’utilizzo non autorizzato, come lo spoofing della posta elettronica. Lo scopo del DMARC è consentire ai proprietari di domini di posta elettronica di proteggere il proprio dominio dall’uso improprio per truffe di phishing e spoofing tramite email, nonché crimini informatici. Si basa su due protocolli esistenti, SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), per migliorare e autenticare la legittimità di un’email.

Comprendere il DMARC

DMARC migliora il processo di autenticazione dell’email sfruttando i protocolli SPF e DKIM consolidati. Il processo di autenticazione è una serie di controlli a cui viene sottoposta un’email per verificarne la legittimità, prima che raggiunga la casella di posta del destinatario. Questo processo è fondamentale per determinare se un’email proviene effettivamente dal mittente dal quale dichiara di provenire o se rappresenta una potenziale minaccia.

SPF e DKIM svolgono un ruolo fondamentale in questo processo di autenticazione. SPF consente ai proprietari di domini di definire quali server di posta sono autorizzati a inviare posta per conto del proprio dominio. Quando viene ricevuta un’email, il server del destinatario controlla il record SPF per confermare che l’email ha avuto origine da un server elencato. Ciò aiuta a impedire agli spammer di inviare email con un indirizzo contraffatto “Da” che sembra provenire dal tuo dominio.

Il DKIM aggiunge un ulteriore livello di sicurezza allegando una firma digitale alle email in uscita. Questa firma viene verificata rispetto a una chiave crittografica pubblica presente nei record DNS del dominio. La presenza di una firma DKIM valida indica che l’email non è stata alterata durante il transito, fornendo una forma di controllo di integrità oltre al controllo di autorizzazione dell’SPF.

Il DMARC collega insieme questi due protocolli e specifica una policy che il proprietario del dominio desidera che i destinatari delle email seguano quando gestiscono email che non superano i controlli SPF e DKIM. Specifica inoltre come il proprietario del dominio desideri essere informato di questi incidenti, consentendogli di agire se necessario. La policy impostata nel DMARC viene comunicata tramite un record TXT nel DNS del dominio, e viene controllata dal server del destinatario dopo le valutazioni dei record SPF e DKIM.

Il processo di autenticazione dell’email funziona come segue: quando viene inviata un’email, il server mittente allega una firma DKIM all’email e l’invia. Il server del destinatario recupera il record SPF per verificare l’autorizzazione del server mittente e controlla la firma DKIM per garantire l’integrità dell’email. Se entrambi i controlli sono superati e si allineano con il dominio indicato nell’intestazione “Da” dell’email, l’email viene considerata autenticata. Se uno dei controlli fallisce o si verifica un disallineamento, il server del destinatario fa riferimento alla policy del record DMARC per decidere se consegnare, mettere in quarantena o rifiutare l’email.

Impostando una policy DMARC, i proprietari di dominio possono istruire i server riceventi a mettere in quarantena o rifiutare le email non autenticate, riducendo così la probabilità che il proprio dominio venga utilizzato per minacce via email. Inoltre, i report del DMARC forniscono approfondimenti sulle attività di posta elettronica legittime e non autorizzate, consentendo ai proprietari di domini di affinare nel tempo le proprie misure di sicurezza per la posta elettronica.

La struttura di un record DMARC 

Un record DMARC è un record TXT nella zona DNS del tuo dominio che segue una sintassi specifica. Questa sintassi include diversi tag che definiscono la policy DMARC e il modo in cui dovrebbe essere applicata.

Parametri chiave di un record DMARC 

Il tag “p” in un record DMARC indica la policy da applicare alle email che non superano i controlli DMARC. I possibili valori per questo tag sono:

  • none: il proprietario del dominio non richiede che venga intrapresa alcuna azione specifica sull’email che non supera il controllo DMARC. Questa impostazione viene in genere utilizzata per monitorare e raccogliere dati senza influire sulla consegna della posta elettronica.
  • quarantine: le email che non superano il controllo DMARC verranno trattate come sospette. A seconda del server di posta elettronica del destinatario, questi messaggi potrebbero finire nella cartella SPAM.
  • reject: questo criterio indica al server di posta elettronica ricevente di rifiutare completamente i messaggi di posta elettronica che non superano il controllo DMARC, impedendo che vengano recapitati nella casella di posta del destinatario.

Il tag “sp” specifica la policy per i sottodomini e può assumere gli stessi valori del tag “p“. Se il tag “sp” non è specificato, la policy specificata nel tag “p” verrà applicata anche ai sottodomini.

Il tag “rua” viene utilizzato per specificare un indirizzo email a cui verranno inviati i report complessivi sugli errori DMARC, mentre il tag “ruf” serve per report forensi che forniscono informazioni più dettagliate sui singoli errori. Questi report sono fondamentali per comprendere e migliorare la configurazione dell’autenticazione delle email.

Il tag “pct” definisce la percentuale di messaggi soggetti alla policy DMARC, utile per implementare gradualmente le modifiche alla policy. Ad esempio, “pct=20” significa che solo il 20% dei messaggi di posta elettronica con errori verrà trattato in base alla policy DMARC specificata.

I tag “adkim” e “aspf” definiscono rispettivamente la modalità di allineamento a DKIM e SPF. I valori possibili sono “r” per rilassato e “s” per rigoroso. L’allineamento rilassato consente corrispondenze parziali (come i sottodomini), mentre l’allineamento rigoroso richiede una corrispondenza esatta tra il dominio nell’intestazione e il dominio nei record SPF/DKIM.

Per esempio, un record DMARC può sembrare così:

v=DMARC1; p=quarantine; sp=none;
rua=mailto:dmarc-reports@example.com;
ruf=mailto:dmarc-failures@example.com; pct=100; adkim=r; aspf=r;

Questo record richiede che le email che non superano i controlli DMARC vengano messe in quarantena, senza una policy specifica per i sottodomini, indica di inviare i report complessivi a dmarc-report@example.com, inviare i report degli incidenti a dmarc-incidenti@example.com, applica la policy al 100% dei messaggi con errori, e utilizza un allineamento rilassato sia per il DKIM che per l’SPF.

Come impostare e implementare un record DMARC nel proprio DNS

Per impostare un record DMARC, dovrai creare un record DNS TXT nella zona DNS del tuo dominio. La maggior parte dei provider di hosting offre una funzionalità Editor di zona DNS, che ti consente di controllare i record DNS per il tuo dominio. È importante ricordare che le modifiche al DNS devono essere apportate dall’account che detiene la zona DNS autorevole per il tuo dominio. Indipendentemente dal servizio di hosting che utilizzi, il tuo dominio deve essere indirizzato con i nameserves alla zona dns. Solo in questo modo le modifiche alla zona DNS saranno effettivamente efficaci.

Se il DNS del tuo dominio è gestito con SiteGround, segui questi passaggi:

  1. Accedi alla tua Area Cliente in SiteGround e vai al Site Tools per il sito web che vuoi gestire.
  2. Naviga fino a Dominio > Editor di Zona DNS.
  3. Seleziona il tuo dominio dal menu a tendina.
  4. Seleziona la finestra TXT come tipo di record che desideri creare.
  5. Nel campo Nome, inserisci _dmarc
  6. Nel campo Valore, inserisci il tuo record DMARC, come “v=DMARC1; p=none; rua=mailto:la-tua-email@example.com;” sostituendo la-tua-email@example.com con l’indirizzo email dove vorresti ricevere i report.
    aggiungere dmarc record
  7. Clicca sul bottone Crea per aggiungere il record.

Dopo aver aggiunto il record DMARC, potrebbe essere necessario del tempo prima che le modifiche si propaghino su Internet prima che abbiano effetto.

Ricorda di iniziare con una policy “none” e di monitorare i report che ricevi per garantire che le email legittime non vengano influenzate.

Miglior pratiche per i record DMARC

Quando si implementano i record DMARC, è importante iniziare con una policy “none” per monitorare il modo in cui vengono gestite le email senza influenzarne la consegna. Questa fase di monitoraggio iniziale ti consente di raccogliere dati sui tuoi flussi di posta elettronica e garantire che le email legittime vengano autenticate correttamente. A poco a poco, puoi passare a policy più restrittive come “quarantine” o “reject” man mano che acquisisci maggiore sicurezza nei processi di autenticazione della posta elettronica.

Monitora regolarmente i tuoi report DMARC per identificare eventuali problemi di configurazione o utilizzo non autorizzato del tuo dominio. Mantieni aggiornati i tag “rua” e “ruf” per assicurarti di ricevere questi preziosi report. Inoltre, istruisci il tuo team sull’importanza del DMARC e assicurati che tutti i mittenti di posta elettronica all’interno della tua organizzazione siano conformi agli standard SPF e DKIM.

Conclusione

L’implementazione di un record DMARC è un passaggio fondamentale per proteggere le tue comunicazioni via email e proteggere il tuo dominio dagli abusi. Impostando una policy DMARC, puoi specificare come i destinatari delle email debbano gestire le email che non superano i controlli di autenticazione, prevenendo così attacchi di phishing e spoofing del dominio. Con l’aumento delle minacce via email, l’adozione del DMARC non è solo consigliata ma sta diventando una necessità per la gestione responsabile del dominio.

FAQ sul DMARC

  1. Cosa succede se non imposto un record DMARC per il mio dominio? Senza un record DMARC, non hai alcun controllo su come i server di posta riceventi gestiscono le email che sembrano provenire dal tuo dominio ma non superano i controlli SPF o DKIM. Ciò potrebbe portare il tuo dominio a essere utilizzato per attacchi di phishing a tua insaputa.
  2. Con quale frequenza devo controllare i miei report DMARC? È buona norma controllare regolarmente i report DMARC, almeno una volta alla settimana quando implementi il DMARC per la prima volta. Man mano che acquisisci maggiore familiarità con gli schemi del tuo traffico email, potresti modificare la frequenza.
  3. Il DMARC può prevenire tutti i tipi di spoofing della posta elettronica? Sebbene DMARC riduca significativamente il rischio di spoofing diretto del dominio, non impedisce tutti i tipi di spoofing della posta elettronica, come gli attacchi di domini “cugini” o l’inganno del nome visualizzato. Dovrebbe essere utilizzato come parte di una strategia completa di sicurezza della posta elettronica, non come unico metodo di difesa.
  4. Esiste il rischio che le email legittime vengano rifiutate con una politica di “reject” nel DMARC? Sì, se le email legittime non superano i controlli SPF o DKIM, potrebbero essere rifiutate. Ecco perché è fondamentale iniziare con una policy “none” e garantire che i flussi di posta elettronica legittimi siano adeguatamente autenticati prima di passare a una politica “reject“.
  5. Tutti i fornitori di servizi di posta elettronica supportano il DMARC? La maggior parte dei principali fornitori di servizi di posta elettronica supporta il DMARC, ma potrebbero essercene alcuni che non implementano completamente il protocollo. Pertanto non tutti i server che gestiscono le email per i destinatari dei tuoi messaggi potrebbero seguire le istruzioni che hai configurato nel record DMARC.

Condividi questo articolo